De trend in onze samenleving is dat de instelling alles moet kunnen verantwoorden. Het is niet meer genoeg dat u laat zien dat u prima uw zorginstelling runt. Nee, u moet dat kunnen bewijzen. Er zal iemand langskomen die u het hemd van het lijf vraagt, in allerlei processen gaat snuffelen en bewijsmateriaal kan eisen.
De Autoriteit Persoonsgegevens of de Inspectie Gezondheidszorg en Jeugd, bijvoorbeeld, kunnen u verrassen met zo’n bezoek en u een boete opleggen als iets niet in orde is. Ook een organisatie als Logius (Beheersorgaan van het ministerie van BZK) stelt eisen aan het gebruik van DigiD en stuurt een auditor. Uw accountant controleert, naast uw financiën, ieder jaar of u de processen rondom de privacy en informatiebeveiliging op orde heeft met steeds indringender vragen. Een kans op een boete is immers een te beheersen financieel risico.
Oefenen vooraf is mogelijk, accreditatie-instituten of accountantsbureaus verlenen graag diensten op dit gebied en geven u een certificaat al zij denken dat alles op orde is.
AVG wijst de weg
Wat moet de instelling dan wel niet allemaal doen? De kern is dat u weet welke gegevens in de organisatie omgaan en wat daarmee gebeurt. De AVG wijst u de weg hoe u dat inzicht opbouwt.
- Allereerst heeft een zorginstelling een Register van de Verwerkingsactiviteiten nodig. Daarin staat welke persoonsgegevens in welk proces met welke rechtsgrond verwerkt worden door en voor wie.
- Vervolgens moet u weten wat er met de gegevens gebeurt en eventuele problemen – de AVG noemt ze ‘inbreuken’ – documenteren. Verder moet u afspraken met Verwerkers vastleggen in Verwerkersovereenkomsten.
Als u dit allemaal heeft gedocumenteerd, wordt vanzelf duidelijk hoe lastig het is om inzicht te hebben of er inbreuken plaatsvinden. Medewerkers kunnen fouten maken, de techniek kan falen, procedures worden niet altijd nageleefd.
Naleving NEN 7510
Om dat allemaal systematisch in beeld te krijgen, is er de norm voor informatiebeveiliging in de zorg: de NEN 7510. Nu de AVG eist dat de informatiebeveiliging op orde is, moeten zorginstellingen kunnen aantonen dat zij die NEN 7510 naleven. Overigens moesten ze dat volgens een andere wet al sinds januari 2018. De belangrijkste eis is ook hier weer dat men inzicht heeft in de sterke en zwakke punten. En dat men een beleid heeft om jaar in jaar uit verbeteringen aan te brengen op de punten die er het meest toe doen.
Om de rekeningen van de externe auditors en accountants niet te veel te laten oplopen, raad ik zorginstellingen aan een simpele administratie van bewijsmateriaal aan te leggen. Voor de externe controleur is het dan een stuk overzichtelijker zodat hij sneller klaar is. Dat kan, gezien de vele externe controleurs en hun hoge tarieven, veel geld besparen zodat er ook nog wat overblijft voor zorg.